Эли4ка
30.07.2013 - 17:22
Добрый вечер!Вот скажите,пожалуйста,если пользователь обращается к моему скрипту,и я в этом скрипте устанавливаю сессию,например my_session
$_SESSION['my_session']='test';
то в куках будет PHPSESSID и в нем это слово,но в зашифрованном виде,если я в скрипте пропишу
echo $_SESSION['my_session'];
то мне покажет test,а вот если злоумышленник узнает как называется сессия,то создав скрипт и попросив вывести эту сессию,он тоже получит значение test ?
P.S. если сессию делать долгоживущей.а не до закрытия браузера.
Спасибо.
Michael
30.07.2013 - 17:33
| Цитата (Эли4ка) |
| то в куках будет PHPSESSID и в нем это слово |
В PHPSESSID не будет этого слова (test) , если я верно понял.
ну а по безопасности - это ж и есть основной вариант атаки через xss - когда воруется значение сессионной куки.
_____________
There never was a struggle in the soul of a good man that was not hard
Эли4ка
31.07.2013 - 05:51
| Цитата |
| В PHPSESSID не будет этого слова (test) , если я верно понял. |
Michael,Вы правы,там какая-то зашифрованная строка будет..
| Цитата |
| ну а по безопасности - это ж и есть основной вариант атаки через xss - когда воруется значение сессионной куки. |
Эли4ка
Можно просто привязать сессию к каким-то идентификационным данным (таким как IP+User agent), если что-то из этого меняется - очищаем сессию.
Эли4ка
31.07.2013 - 16:22
| Цитата |
Эли4ка
Можно просто привязать сессию к каким-то идентификационным данным (таким как IP+User agent), если что-то из этого меняется - очищаем сессию. |
Rand,да дело в том,что мне не надо привязку по IP,UA делать,мне там ключевые данные нужно хранить..
Ну тогда да - только в БД. Сессия изначально предназначена для хранения временных данных, потеря которых не обернется катастрофой. По этому, очень часто сессии вообще хранятся в оперативной памяти (на крупных ресурсах).
| Цитата |
| По этому, очень часто сессии вообще хранятся в оперативной памяти |
Rand,опа-на.а как это понять?Может быть в БД с типом HEAD ?
Сессия это временное хранилище, притом для каждого пользователя может хранить отедльные разные даные, например его id в бд
притом очистка куков например или закрытие браузера, очищает сессию, следовательно и данные удалятся.
поэтому хранение важных данных там категорически противопоказано
| Цитата |
| поэтому хранение важных данных там категорически противопоказано |
bestxp, немного корявое объяснение
Скажем так хранить в сессии можно, данные потерю которых легко восстановить при новой авторизации.
Важными могут быть и конфиденциальные данные, задача сессии скрыть их от прямого доступа пользователя
__
вобщем-то у меня не менее коряво получилось
Эли4ка за подобной информацией лучше обращаться к книгам, там грамотно и ясно описано что к чему
_____________
Стимулятор ~yoomoney - 41001303250491
HErATuB
1.08.2013 - 17:14
У пользователя храниться зашифрованное id сессии, на сервер так же храниться id сессии (уникальное), тайм аут и ссылки в ОП где хранятся все данные.
$_SESSION['my_session']='test';
$_SESSION -> Берет id сессии
['my_session'] -> Адрес в ячейку ОП
'test' -> то что храниться в ячейке
| Цитата |
| Сессии вообще не нужны |
MiksIr,ну-ну...совсем-совсем?
Не совсем ты и прав.
Сессия достаточно мощная штука если верно готовить, на одних куках ты не уедишь.
Сессия это авторизация
Сессия это корзина в магазине
Сессия это flash сообщения
Все в куки ты не засунешь, ибо размер ограничен, локалСтореджу нужен посредник в виде js. тоже не вариант.
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.
